Stadig store huller i netbutik

<b>Opdateret:</b> Fortrolige oplysninger om Muskelsvindfondens netbutik, der blandt andet sælger merchandise fra koncerter, lå tirsdag stadig frit tilgængelige for besøgende. Fonden har ikke haft travlt med at rette fejlen, der også giver adgang til at redigere fondens egen hjemmeside. Onsdag formiddag blev hjemmesiden dog lukket.

Fejlen er rettet, meddelte Muskelsvindfonden, da Computerworld Online mandag omtalte en række sikkerhedshuller i fondens hjemmelavede netbutik.

Men helt basale fejl præger stadig Muskelsvindfondens hjemmeside.

Flere læsere har gjort såvel Muskelsvindfonden som Computerworld Onlines redaktion opmærksom på, at man endnu tirsdag ved at gætte sig til i øvrigt helt logiske adresser kan se kundernes navne og adresser samt indkøb i netbutikken.

Muskelsvindfondens direktør, Marianne Frederiksen, har ikke besvaret talrige henvendelser, men overlader det til IT-chef Lars Jensen at orientere pressen.

Han kan imidlertid ikke hidse sig op over, at enhver kan kigge med i kundernes bestillinger og redigere i de filer på fondens hjemmeside, der ellers var forbeholdt ham selv at ændre på.

- Denne sag begynder at blive irriterende. Jeg tror, at der er mange ansatte rundt omkring i IT-afdelingerne, som føler, at de har nok at se til. Du kan jo også se i telefonbogen, hvem der har købt en telefon, siger Lars Jensen, der undrer sig over, hvem der gider sidde og holde øje med, om sikkerheden er høj eller lav hos en organisation som Muskelsvindfonden.

Rettede ikke fejlene

Han fik første gang besked om sikkerhedshullerne for en uge siden, hvor nogle af fejlene blev rettet.

Da Computerworld Online i mandags henvendte sig med kendskab til endnu et hul, blev også det rettet. Til dels.

Kort efter gjorde forundrede læsere redaktionen opmærksom på, at sikkerheden i Muskelsvindfondens IT-løsning fortsat var under al kritik. Blot ved at indtaste en adresse fra netbutikken, men hvor "http:" var erstattet med "ftp:", kunne man bladre rundt i filer og biblioteker på fondens hjemmeside - og ændre, slette eller oprette filer.

En læser henvendte sig og sagde, at han tirsdag middag stadig kunne se det skærmbillede, som Computerworld Online bragte i artiklen mandag - og som fonden da ikke længere mente var tilgængeligt.

IT-chefen Lars Jensen understreger, at de fejlramte systemer alene vedrører hjemmesiden og netbutikken, og at webserveren ikke hænger sammen med de systemer, medarbejderne i Muskelsvindfonden til daglig arbejder med.

Få et certifikat

Tidligere på sommeren var det netbutikken Haraldnyborg.dk, der var ramt af en stribe grove programmeringsfejl begået af en IT-medarbejder i koncernen.

I FDIH, Foreningen for Dansk Internet Handel, er formanden foruroliget over de fejl, der afsløres i danske netbutikker.

- Det startede i sin tid med ret banale problemer, hvor det var markedsføringsloven, der i stor stil blev overtrådt. Nu lader det til, at problemerne begynder at opstå på sikkerhedsområdet, siger FDIH-formanden Gert Birnbacher.

FDIH vil nu vurdere, om indsatsen med at rådgive medlemmerne skal øges på sikkerhedsområdet. Ellers opfordrer Gert Birnbacher netbutikkerne til at lade sig certificere og derigennem få kontrolleret sikkerheden.

Onsdag formiddag oplyser Muskelsvindfonden, at hjemmesiden og netbutikken er lukket. Ifølge hjemmesiden er den "under omlægning".

Computerworld Online ønsker ikke at skade Muskelsvindfonden og tager afstand fra enhver, der vil forsøge at misbruge sikkerhedshullerne i fondens IT-systemer. Redaktionen har derfor valgt ikke at gå i detaljer med fejlenes karakter.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere